CVE-2024-4030

Nome do software vulnerável e versões afetadas:

Versões do Python anteriores à 3.13

Descrição:

O problema está relacionado à função tempfile.mkdtemp() no Python, que, no Windows, nem sempre define as permissões corretas para o diretório temporário, permitindo que outros usuários leiam e gravem nele. Isso ocorre porque o Python não suporta permissões Unix no Windows. A correção adiciona suporte às permissões Unix “700” para a função mkdir no Windows, garantindo que o diretório recém-criado tenha as permissões adequadas. Se você não estiver usando o Windows ou não tiver alterado a localização do diretório temporário, não será afetado por este problema. Em outras plataformas, o diretório retornado é consistentemente legível e gravável apenas pelo usuário atual.

Recomendações:

Atualize o Python para a versão 3.13 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao diretório temporário criado por tempfile.mkdtemp() para minimizar o risco de exploração. Evite usar a função tempfile.mkdtemp() no Windows até que o problema seja resolvido.